時間總是在不經(jīng)意間流逝，轉(zhuǎn)眼間我們已經(jīng)步入了2015年。新年伊始，小編在本周的安全要聞為大家準(zhǔn)備了硬邦邦的干貨，趕緊來看看吧。

[[125618]]

最近未經(jīng)授權(quán)的HTTPS證書成為熱門新聞話題，其中有些證書還是來自已熟知/理應(yīng)可信的供應(yīng)商的根存儲。那么，企業(yè)應(yīng)該如何防范這些偽造證書?認證信息系統(tǒng)安全架構(gòu)專家Michael Cobb對這個問題做出了解答。

企業(yè)應(yīng)該如何防范HTTPS偽造證書?

據(jù)了解，針對于HTTPS的攻擊，多存在于中間人攻擊的環(huán)境中，主要是針對于HTTPS所使用的壓縮算法和CBC加密模式，進行side-channel-attack。這幾類攻擊的前置條件都比較苛刻，且都需要受害主機提交很多次請求來收集破譯關(guān)鍵數(shù)據(jù)的足夠信息。常見的攻擊方法，主要有：BEAST、Lucky-13、RC4 Biases、CRIME、TIME、BREACH等。

常見HTTPS攻擊方法解析

隨著企業(yè)和消費者繼續(xù)積極將移動設(shè)備用于工作和個人，智能手機等移動設(shè)備的安全防護自然不能忽視。近日，AVL移動安全團隊聯(lián)合LBE發(fā)現(xiàn)一款內(nèi)置于手機ROM的惡意代碼模塊，并將該模塊命名為“PoisonCake(毒蛋糕)”。PoisonCake可以單獨運行，解密釋放相關(guān)主體功能模塊，在后臺監(jiān)控自身進程并執(zhí)行短信和WAP扣費、注入Phone進程，攔截短信和發(fā)送短信等惡意行為。

PoisonCake:內(nèi)置于手機ROM的惡意代碼模塊

近些年，無線上網(wǎng)卡上的軟件和傳輸協(xié)議屢屢因為漏洞遭到破解。就在近期召開的歐洲黑客聯(lián)盟(Chaos Computer Club)會議上，Positive Technologies的研究者披露了4G USB無線上網(wǎng)卡中存在漏洞，攻擊者可以借此入侵4G無線上網(wǎng)卡和SIM卡。

研究人員發(fā)現(xiàn)攻擊4G無線上網(wǎng)卡和SIM卡的方法

對于Cisco設(shè)備管理員來說，“Cisco Ios Software Checker”這個安全工具十分有用，可以確定Cisco IOS軟件是否錯過了安全補丁或者安全漏洞。筆者嘗試在用于查找Cisco IOS版本的輸入框中提交一些垃圾數(shù)據(jù)，結(jié)果被系統(tǒng)無情的被拒絕了。

我是如何發(fā)現(xiàn)一枚Cisco XSS漏洞的

云備份越來越受歡迎，它提供了一種經(jīng)濟、靈活且便捷的方式來保護您的數(shù)據(jù)。但哪一款云備份解決方案最適合你?

5款云備份工具助力數(shù)據(jù)安全

最后，小編為大家推薦一個關(guān)于CISSP培訓(xùn)的視頻。公共知識體系(CBK)中的國際注冊信息系統(tǒng)安全專家(CISSP)安全架構(gòu)和設(shè)計部分側(cè)重于計算系統(tǒng)的架構(gòu)以及安全如何整合到架構(gòu)水平。在這個多媒體演示中，CISSP考試培訓(xùn)師Shon Harris全面概述了CBK安全架構(gòu)和設(shè)計部分。

CISSP培訓(xùn)視頻：安全架構(gòu)和設(shè)計